专家教你如何进行网站挂马检测与清除

360督导招募中，赶紧报名吧！           【题材征集】2011-2012新春语音祝福题材征集

4大皆空

金币：373

经验：1589

等级：初中二年级

功勋：2

短信

[回到顶部][回复此楼][引用][举报] 2 楼 2009-07-02 10:48

  3.对地址进行解码
  该地址采用了一种编码，我对常用的这种编码值进行了整理，如下表所示，从中可以出该代码中的真实地址为ave1。

　　4.获取该网站相关内容
  可以使用Flashget的资源管理器去获取该网站的内容，如图4所示，打开Flashget下载工具，单击“工具”-“站点资源探索器”，打开站点资源探索器，在地址中输入“ave1”，然后回车即可获取该网站的一些资源，在站点资源探索器中可以直接下载看见的文件，下载到本地进行查看。
 
  图4 使用“站点资源探索器”获取站点资源
  说明：
  使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源，这些资源可能是挂马的真实代码，透过这些代码可以知道挂马者是采用哪个漏洞，有时候还可以获取0day。
  在本例中由于时间较长，挂马者已经撤销了原来的挂马程序文件，在该网站中获取的html文件没有用处，且有些文件已经不存在了，无法对原代码文件进行分析。
  5.常见的挂马代码
  (1)框架嵌入式网络挂马
  网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：
 
  解释：在打开插入该句代码的网页后，就也就打开了/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。
　　(2)Js调用型网页挂马
  js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下：
 

  /gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了。
　　(3)图片伪装挂马
  随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似：/test.htm中的木马代码植入到任嘉伦八卦test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如：
 
  注：当用户打开/test.htm是，显示给用户的是/test.jpg油漆十大品牌排名，而/test.htm网页代码也随之运行。
  (4)网络钓鱼挂马(也称为伪装调用挂马)
  网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ好和密码，如图5所示。等用户输入完提交后，就把这些信息发送到攻击者指定的地方，如图6。
 
  图5 伪装QQ页面
 
  图6 获取的QQ密码
  (5)伪装挂马
  高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示www.sina 或者io等用户信任地址，其实却打开了被挂马的页面，从而实现欺骗，示例代码如：
   

4大皆空

金币：373

经验：1589

等级：初中二年级

功勋：2

短信

[回到顶部][回复此楼][引用][举报] 3 楼 2009-07-02 10:49

  3.对地址进行解码
  该地址采用了一种编码，我对常用的这种编码值进行了整理，如下表所示，从中可以出该代码中的真实地址为ave1。

　　4.获取该网站相关内容
  可以使用Flashget的资源管理器去获取该网站的内容，如图4所示，打开Flashget下载工具，单击“工具”-“站点资源探索器”，打开站点资源探索器，在地址中输入“ave1”，然后回车即可获取该网站的一些资源，在站点资源探索器中可以直接下载看见的文件，下载到本地进行查看。
 
  图4 使用“站点资源探索器”获取站点资源
  说明：
  使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源，这些资源可能是挂马的真实代码，透过这些代码可以知道挂马者是采用哪个漏洞，有时候还可以获取0day。
  在本例中由于时间较长，挂马者已经撤销了原来的挂马程序文件，在该网站中获取的html文件没有用处，且有些文件已经不存在了，无法对原代码文件进行分析。
  5.常见的挂马代码
  (1)框架嵌入式网络挂马
  网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：
 
因为爱情梅子黄时雨  解释：在打开插入该句代码的网页后，就也就打开了/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。
　　(2)Js调用型网页挂马
  js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下：
 

  /gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了。
　　(3)图片伪装挂马
  随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似：世界著名雕塑 /test.htm 中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如：
 
  注：当用户打开/test.htm是，显示给用户的是/test.jpg，而/test.htm网页代码也随之运行。
  (4)网络钓鱼挂马(也称为伪装调用挂马)
  网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ好和密码，如图5所示。等用户输入完提交后，就把这些信息发送到攻击者指定的地方，如图6。
 
  图5 伪装QQ页面
 
  图6 获取的QQ密码
  (5)伪装挂马
  高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示www.sina 或者io等用户信任地址，其实却打开了被挂马的页面，从而实现欺骗，示例代码如：
   

4大皆空

金币：373

经验：1589

等级：初中二年级

功勋：2

短信

[回到顶部][回复此楼][引用][举报] 4 楼 2009-07-02 11:15